Denis Szalkowski a écrit 122 commentaires

Comment est-il possible dans un article consacré aux distributions Linux d'oublier de parler de Fedora, d'OpenSUSE ou encore de CentOS ?

SELinux ne prend en charge que les paquets en mode SECMARK dans Iptables.

AppArmor ne prend pas en charge les ports et le protocoles.
Le commutateur—cgroup n'est pas pris en charge dans
Iptables. Sinon, c'était une excellent idée !!!

Ip-netns n'est pas fait pour ça.

Fireflier, Program Guard, TuxGuardian, Ufwi, Douane sont dans les choux.

Les commutateurs --gid-owner et --uid-owner dans Iptables ne sont pas possibles du fait que GTK, KDE, etc n'autorisent pas l'exécution en mode sgid ou suid.

Autrement dit, il n'y a pas de solution à ce jour pour filtrer les paquets associés à un process. Et c'est tout de même un comble quand Windows et Mac OS X proposent tous deux cette fonctionnalité. Faut-il en déduire que Linux n'est pas fait pour la station de travail ? Pour ma part, je le pense.

Ça fait 3 ans que je cherche !

@Florent

Je parle de Linux sur une station de travail et le fait de contrôler les paquets qui sortent des process (pid) ! Parlons-nous vraiment de la même chose ?

Contrôler ce qui sort d'une machine, c'est inutile ? Ah bon. En matière de sécurité, au niveau d'une station de travail, c'est tout juste le b.a.-ba.

Blague à part. C'est quoi au juste nextgens, users au niveau de la commande cgcreate dans ton "tuto". As-tu testé ?

J'ai pris, là, l'exemple de Firefox. Mais élargissons. J'ai un client Torrent du type transmission auquel je veux associer le port UDP 60000 en entrant. Je fais comment ?

Le proxy est un filtrage "applicatif". Ce dont nous avons besoin, c'est ce qui existait avec Fireflier ou bien une console du type wf.msc comme elle existe sous Windows.

Je n'ai rien vu sur ip netns permettant le contrôle des ports et des protocoles. C'est plutôt pour du routage.

Sous root/MATE/Fedora 22 :

useradd firefox
chgrp firefox /usr/lib64/firefox/firefox
chmod g+s /usr/lib64/firefox/firefox
firefox &

Et là : "You must create a helper progam instead"

-> http://www.gtk.org/setuid.html

???

On peut le faire aussi avec l'uid. Mais c'est d'un compliqué à gérer… Mais je me demande si ça s'applique quand on est root ???

Il s'agit en fait de Ufwi. Le projet semble moribond comme ceux de Fireflier, TuxGuardian et de Program Guard, qui s'appuient sur NFQUEUE. Je me suis servi de Fireflier. Ça marchait bien ! Aujourd'hui, ces logiciels sont difficilement compilables. Nufw ou Ufwi n'existe plus dans les dépôts de la Fedora.

J'ai vu un autre projet, Douane, qui lui non plus, en semble pas très vivace.

Je n'ai rien vu quant à la configuration du port dans la doc de AppArmor. Seulement le protocole.

Ce ne serait pas très malin que Thales héberge ses serveurs aux US.

Pas facile de définir le "sens" du routage, hein ! ;+) Certaines routes vont d'Angleterre en Suède. D'autres vont de GB en France.

Ce qui est bizarre, c'est que l'info sur db-ip.com situe bien les machines aux USA.

Sur d'autres services de géolocalisation d'adresses, les adresses sont données en France.

En vérifiant toutes les plages d'adresses V4 de Thales services, certaines d'entre elles sont bel et bien identifiées en France selon db-ip.com. En revanche, ils situent tous les préfixes 192 aux USA.

J'ai mis l'info au conditionnel, vous remerciant de ces observations.

L'association NUI, déclarée le 7 juillet 2006, se dénomme en fait NETWORK USERS INSTITUTE - NOVELL USERS INTERNATIONAL.

Chez tous mes clients (entreprises commerciales, collectivités, associations), sur les serveurs :

1. CentOS ou Red Hat
2. Suse ou OpenSuse

Peu de Mandriva, en effet. Mais quand même !

Chez les particuliers : de la Ubuntu partout ! Dans le cadre de ma société de services, nous mettons de la Ubuntu sur le poste client pour accéder aux applications métiers commerciales qui s'exécutent sur les serveurs Windows.

Alors le RPM mourant, là, franchement, c'est marrant !

NB Linuxien depuis 1999, même si ça veut rien dire ! Les choses changent.

Les distributions en chute libre sur les serveurs d'entreprise !!!

Je ne sais pas comment sont faites ces stats. Pas en France certainement !

Qu'est-ce qui te permet d'affirmer de telles inepties ? Sais-tu de quoi on parle au moins ?

En solution centralisée, avec son agent, NuFW me semble pleinement adapté. En solution "station de travail", c'est tout de même un peu lourd, tu ne crois pas ?

Bah non ! On ne contrôle pas le process. De ce fait, je ne vois pas comment on peut filtrer la sortie de paquets.

Je suis repassé sous... Windows.

Windows 7 propose en standard aujourd'hui de filtrer le flux sortant par application.

En dehors de l'usine à gaz NuFW (Fireflier un peu dans le décor), nous ne maîtrisons plus rien de ce qui sort de nos machines Linux. Je comprends le choix de Google !

--pid-owner, --sid-owner, --cmd-owner ont disparu de NetFilter/IpTables depuis le noyau 2.6.14. Génial !!!

NB Après 4 ans d'utilisation de Linux (Fedora et Ubuntu) sur mon poste de travail, je suis repassé sous Linux pour la raison que j'évoque précédemment. Je suis preneur d'une autre solution que NuFW si vous en connaissez une. Je cherche... en vain.

Mais à quoi ça sert d'écrire des choses aussi insignifiantes !!!

Et puis, quelle fermeture d'esprit ! Parce que vous utilisez Gnome, vous croyez que le monde est à votre image...

C'est parce que vous croyez que le monde est sans limite que vous nous exposez les vôtres. "Heureux les simples d'esprit" !


Un utilisateur de KDE, de GNOME, de XFCE et surtout un utilisateur LINUX

La loi dite Godfrain du 5 janvier 1988 a créé des infractions spécifiques relativeq à la fraude informatique. Elles ont été reprises par les articles 323-1 à 323-7 du nouveau code pénal institué par la loi du 22 juillet 1992 entrée en vigueur le 1er mars 1994.

Je cite...

" L'accès et le maintien frauduleux total ou partiel dans tout ou partie d'un système ou délit d'intrusion est punis par l'article 323-1 d'un an d'emprisonnement et de 100 000 francs d'amende."

Au fait, c'est qui la moule ?

Les interfaces Web ne permettent pas de faire ce que proposent les applications de bureau en terme de performances et de traitement.

Les API permettent de faire cohabiter très avantageusement les deux mondes et surtout de garantir la "permanence" des données au niveau de l'utilisateur.

Je voudrais reprendre 2 points.

Manque d'ergonomie ?

En quoi Kde (environnement Qt) ou Gnome (environnement Gtk) manque-t-il d'ergonomie ? Par rapport à quoi au juste ? Surtout quand on voit la grande réussite que constituent Vista et Office 2007.

Sophistication ?

OpenOffice peut être avantageusement remplacé par Abiword ou Gnumeric.

Quant à Gimp, il faut regarder vers Krita.

Et puis, qui t'oblige à utiliser Claws alors qu'il y a Thunderbird, Evolution ou Kmail ?

Béotien au niveau de la station de travail ?

Ce qui émerge de ton billet, c'est que tu sembles ne pas bien connaître la logithèque Linux au niveau de la station de travail. Pour ma part, j'ai pris le temps de travailler sur ce sujet durant 2 ans. Nous avons migré des entreprises sur Linux et le pire, c'est que ça marche. Nous avons fait le choix de Kde 3.5 afin de mieux gérer la conduite de changement.

D'autres infos ici -> http://www.dsfc.net/dotclear/ et là -> http://www.dsfc.net/bloginfo/ .

Etrange ton billet : buzz, marketing viral, besoin de reconnaissance ? ;+)